Desenvolvedor

Decodificador JWT

Cole um Token Web JSON para dividi-lo em cabeçalho, carga útil e assinatura. Timestamps como exp e iat são formatados em datas legíveis, e a tabela de reivindicações mostra cada campo de relance. Funciona inteiramente no seu navegador.

Token JWT

O que é um JWT?

Um JSON Web Token (JWT) é uma forma compacta e segura para URL de representar reivindicações entre duas partes. Ele consiste em três segmentos codificados em base64url unidos por pontos: um cabeçalho que nomeia o algoritmo de assinatura, um payload que carrega as reivindicações e uma assinatura que prova que o token foi emitido por alguém que possui a chave de assinatura. Os JWTs são o formato padrão para tokens de acesso OAuth 2.0, tokens de ID OpenID Connect e a maioria dos sistemas de sessão sem estado. Este decodificador divide o token e mostra o JSON bruto para cada segmento — ele não verifica a assinatura, pois isso exigiria a chave secreta ou pública do emissor.

Como usar o decodificador JWT

1
Cole seu token
Copie um JWT de um cabeçalho de autorização, um log de depuração ou uma URL. Ele deve parecer com eyJ...eyJ...assinatura com três segmentos.
2
Revise o cabeçalho e o payload
O cabeçalho mostra o algoritmo (alg) e o tipo de token (typ). O payload lista cada reivindicação — sub, iss, aud, exp, iat e quaisquer campos personalizados.
3
Verifique a expiração rapidamente
Os banners de validade informam imediatamente se o token está expirado, ativo ou ainda não é válido (nbf). As reivindicações de tempo são mostradas tanto em UTC quanto em forma relativa.
4
Copie seções individuais
Use o botão de copiar no painel de cabeçalho ou payload para obter um JSON limpo para depuração, compartilhamento ou colagem em outra ferramenta.

Anatomia do JWT

Um JWT tem três segmentos base64url unidos por pontos:
 
    cabeçalho.payload.assinatura
 
Cabeçalho  — JSON descrevendo o algoritmo de assinatura
          { "alg": "HS256", "typ": "JWT" }
 
Payload — JSON carregando as reivindicações
          { "sub": "1234", "exp": 1700000000 }
 
Assinatura — HMAC ou RSA sobre cabeçalho.payload, codificado em base64url
 
Reivindicações de tempo padrão (segundos desde a época):
  exp  = tempo de expiração
  iat  = emitido em
  nbf  = não antes de

O cabeçalho e o payload são JSON simples que qualquer um pode ler — base64url é codificação, não criptografia. A assinatura é o que torna o token confiável: é calculada pelo emissor usando uma chave secreta (para algoritmos HS*) ou uma chave privada (para algoritmos RS*/ES*) sobre os dois primeiros segmentos. Um servidor que recebe o token recalcula a assinatura com a chave secreta ou pública correspondente e rejeita qualquer coisa que não corresponda. É por isso que você nunca deve colocar dados sensíveis como senhas em um payload, e por que esta ferramenta apenas decodifica — a verificação requer a chave do emissor.

Referência: RFC 7519 — JSON Web Token (JWT)

Exemplos

Entrada	Saída
Cabeçalho: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Cabeçalho mínimo para um token HMAC-SHA256.
Payload com reivindicação exp	{ "sub": "1234", "exp": 1700000000 } exp é segundos desde a época — 2023-11-14 em UTC.
Token expirado	Token expirado · Expira em 2024-01-01 (3 meses atrás) O banner de validade fica vermelho quando exp está no passado.
Token malformado (apenas dois segmentos)	Token inválido: esperado 3 segmentos, recebeu 2 Um JWT deve ter exatamente três partes separadas por pontos em base64url.

Casos de uso comuns

Depurar um token de acesso OAuth para ver quais escopos e audiência ele possui
Verificar se uma solicitação falha devido a um token expirado
Inspecionar um token de ID OpenID Connect para ler as reivindicações do usuário, como sub e email
Decodificar um token de link mágico ou de redefinição de senha para confirmar a carga útil assinada
Verificar se o emissor correto (iss) e a audiência (aud) estão definidos em um token
Ler o cabeçalho kid para descobrir qual chave de assinatura foi usada
Comparar dois tokens lado a lado ao investigar um bug de sessão
Ensinar os colegas de equipe como os JWTs são estruturados sem escrever nenhum código

Ferramentas relacionadas

Formatador JSON

Formate, valide e minifique JSON com relatórios precisos de linha e coluna de erro.

Codificador Base64

Codifique e decodifique texto Base64 com variante opcional segura para URL e suporte a UTF-8.

Conversor de Timestamp Unix

Converta entre números de época e datas com detecção automática para segundos vs milissegundos.

Calculadora de Idade

Calcule sua idade exata em anos, meses e dias a partir de qualquer data de nascimento.

Perguntas frequentes

Esta ferramenta verifica a assinatura?

Não. Verificar uma assinatura requer o segredo do emissor (para algoritmos HMAC) ou a chave pública (para RSA e ECDSA). Esta ferramenta apenas decodifica o cabeçalho e a carga útil para que você possa lê-los. Trate qualquer token que você decodificar aqui como não confiável até que seu backend valide a assinatura contra a chave do emissor.

É seguro colar um JWT real aqui?

Tudo é executado no seu navegador — o token nunca é enviado, armazenado ou registrado. Dito isso, um token de acesso em suas mãos é tão poderoso quanto uma senha: se seu navegador tiver extensões que leem o conteúdo da página, elas poderiam teoricamente vê-lo. Para depuração paranoica, use uma janela privada nova ou decodifique offline.

Por que a assinatura é mostrada como bytes em vez de texto?

A assinatura é um blob binário bruto — tipicamente 32 bytes para HS256, 256 bytes para RS256. Está codificada em base64url no token, mas a forma decodificada não é legível por humanos, então a ferramenta relata a contagem de bytes em vez de tentar exibir caracteres embaralhados.

Qual é a diferença entre exp, iat e nbf?

Eles são as três reivindicações de tempo padrão do RFC 7519. exp é o tempo de expiração — após este momento, o token é inválido. iat é o tempo de emissão — quando o token foi criado. nbf é o tempo de não antes — o primeiro momento em que o token pode ser usado. Todos os três são medidos em segundos desde a época Unix.

Meus timestamps parecem muito errados — estão incorretos?

JWTs usam segundos desde a época, não milissegundos. Esta ferramenta detecta automaticamente a unidade verificando se o valor está acima de 10^12 (tratado como milissegundos). Se você tiver uma reivindicação não padrão armazenando um timestamp sob um nome diferente, ele é exibido como um número bruto em vez de uma data.

Por que a decodificação falha com "não é um base64url válido"?

O segmento contém caracteres fora do alfabeto base64url (A-Z a-z 0-9 - _) ou está faltando preenchimento. Copiar e colar de clientes de email ou aplicativos de chat pode introduzir silenciosamente espaços em branco ou aspas inteligentes. Tente copiar o token de uma fonte nova, como as ferramentas de desenvolvedor do navegador.

Posso decodificar um JWT criptografado (JWE)?

Não. Esta ferramenta decodifica JWTs assinados (JWS). Um token JWE tem cinco segmentos em vez de três e sua carga útil é criptografada em vez de apenas codificada — você precisa da chave privada do destinatário para lê-lo. Um token JWS regular com uma reivindicação criptografada (como os tokens opacos do Auth0) também não será decodificado em JSON legível.

Preciso da opção Base64 segura para URL?

Os segmentos JWT são sempre codificados em base64url, então a ferramenta lida com isso automaticamente — nenhuma opção necessária. Se você precisar codificar ou decodificar texto base64url arbitrário fora de um JWT, use o codificador Base64 separado com a caixa de seleção segura para URL ativada.

Última atualização 2026-04-21

Carregando...

O que é um JWT?

Como usar o decodificador JWT

Cole seu token

Copie um JWT de um cabeçalho de autorização, um log de depuração ou uma URL. Ele deve parecer com eyJ...eyJ...assinatura com três segmentos.

Revise o cabeçalho e o payload

O cabeçalho mostra o algoritmo (alg) e o tipo de token (typ). O payload lista cada reivindicação — sub, iss, aud, exp, iat e quaisquer campos personalizados.

Verifique a expiração rapidamente

Os banners de validade informam imediatamente se o token está expirado, ativo ou ainda não é válido (nbf). As reivindicações de tempo são mostradas tanto em UTC quanto em forma relativa.

Copie seções individuais

Use o botão de copiar no painel de cabeçalho ou payload para obter um JSON limpo para depuração, compartilhamento ou colagem em outra ferramenta.

Anatomia do JWT

Um JWT tem três segmentos base64url unidos por pontos:
 
    cabeçalho.payload.assinatura
 
Cabeçalho  — JSON descrevendo o algoritmo de assinatura
          { "alg": "HS256", "typ": "JWT" }
 
Payload — JSON carregando as reivindicações
          { "sub": "1234", "exp": 1700000000 }
 
Assinatura — HMAC ou RSA sobre cabeçalho.payload, codificado em base64url
 
Reivindicações de tempo padrão (segundos desde a época):
  exp  = tempo de expiração
  iat  = emitido em
  nbf  = não antes de

Exemplos

Entrada	Saída
Cabeçalho: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Cabeçalho mínimo para um token HMAC-SHA256.
Payload com reivindicação exp	{ "sub": "1234", "exp": 1700000000 } exp é segundos desde a época — 2023-11-14 em UTC.
Token expirado	Token expirado · Expira em 2024-01-01 (3 meses atrás) O banner de validade fica vermelho quando exp está no passado.
Token malformado (apenas dois segmentos)	Token inválido: esperado 3 segmentos, recebeu 2 Um JWT deve ter exatamente três partes separadas por pontos em base64url.

Casos de uso comuns

Depurar um token de acesso OAuth para ver quais escopos e audiência ele possui

Verificar se uma solicitação falha devido a um token expirado

Inspecionar um token de ID OpenID Connect para ler as reivindicações do usuário, como sub e email

Decodificar um token de link mágico ou de redefinição de senha para confirmar a carga útil assinada

Verificar se o emissor correto (iss) e a audiência (aud) estão definidos em um token

Ler o cabeçalho kid para descobrir qual chave de assinatura foi usada

Comparar dois tokens lado a lado ao investigar um bug de sessão

Ensinar os colegas de equipe como os JWTs são estruturados sem escrever nenhum código